github-stars-notion-sync 安全扫描报告 — 低风险 | ClawSafe

20 /100

github-stars-notion-sync

Export GitHub starred repositories by category and sync them to a Notion database

GitHub Stars 到 Notion 同步工具，功能透明、文档与代码行为一致，无恶意行为发现，仅存在依赖无版本锁定的轻微瑕疵。

技能名称github-stars-notion-sync

分析耗时36.2s

引擎pi

✓

可以安装

建议在生产环境中锁定 requests 库版本以提高可重现性，其余功能可安全使用。

安全发现 1 项

严重性	安全发现	位置
低危	依赖库无版本锁定供应链 requirements.txt 中 requests 库未指定版本，可能导致依赖不一致或潜在漏洞利用 `requests` → 建议指定版本，如 requests>=2.28.0	`requirements.txt:1`

资源类型	声明权限	推断权限	状态	证据
文件系统	`WRITE`	`WRITE`	✓ 一致	scripts/export_stars.sh:14 - 写入 assets/starred_lists.md
网络访问	`READ`	`WRITE`	✓ 一致	scripts/sync_stars_to_notion_db.py:77,132 - POST 数据到 api.notion.com
命令执行	`WRITE`	`WRITE`	✓ 一致	agent.yaml 定义使用 bash 执行脚本，scripts/export_stars.sh:1 使用标准 bash
环境变量	`READ`	`READ`	✓ 一致	scripts/sync_stars_to_notion_db.py:21 - 仅读取 NOTION_API_KEY

6 项发现

🔗

中危外部 URL 外部 URL

https://developers.notion.com/

README.md:30

🔗

中危外部 URL 外部 URL

https://jqlang.github.io/jq/

references/export_stars.md:19

🔗

中危外部 URL 外部 URL

https://api.notion.com/v1/databases

scripts/sync_stars_to_notion_db.py:77

🔗

中危外部 URL 外部 URL

https://api.notion.com/v1/databases/

scripts/sync_stars_to_notion_db.py:100

🔗

中危外部 URL 外部 URL

https://api.notion.com/v1/pages/

scripts/sync_stars_to_notion_db.py:121

🔗

中危外部 URL 外部 URL

https://api.notion.com/v1/pages

scripts/sync_stars_to_notion_db.py:132

目录结构

8 文件 · 19.6 KB · 524 行

Markdown 4f · 239L Python 1f · 198L Shell 1f · 66L YAML 1f · 20L Text 1f · 1L

├─ ▾ 📁 references

│ ├─ 📝 export_stars.md Markdown 64L · 2.9 KB

│ └─ 📝 sync_stars.md Markdown 84L · 4.2 KB

├─ ▾ 📁 scripts

│ ├─ 🔧 export_stars.sh Shell 66L · 1.9 KB

│ └─ 🐍 sync_stars_to_notion_db.py Python 198L · 6.7 KB

├─ 📋 agent.yaml YAML 20L · 609 B

├─ 📝 README.md Markdown 59L · 2.1 KB

├─ 📄 requirements.txt Text 1L · 9 B

└─ 📝 SKILL.md Markdown 32L · 1.3 KB

依赖分析 1 项

包名	版本	来源	已知漏洞	备注
`requests`	`*`	pip	否	无版本锁定，建议锁定为 requests>=2.28.0

安全亮点

✓ 文档与代码行为完全一致，无阴影功能

✓ 仅访问声明的敏感资源（NOTION_API_KEY）

✓ 网络请求仅指向官方 Notion API (api.notion.com)

✓ 无 base64 编码、eval 执行或代码混淆

✓ 文件系统写入仅限 assets/ 目录

✓ 使用标准 CLI 工具（gh、jq）而非自定义网络请求